Ziff Davisはこのほど、「Chinese Hackers Sat Undetected in Small Massachusetts Power Utility for Months|PCMag」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Volt Typhoon」が米国マサチューセッツ州リトルトン電力水道局(LELWD: Littleton Electric Light and Water Departments)に300日以上継続して侵入していたと報じた。

これは2023年に特定されたサイバースパイ活動の一つで、当時約200カ所のインフラ施設が侵害されたという(参考:「Cybersecurity Wake-Up Call: Lessons from an Attack on a Small Utility | American Public Power Association」)。

  • Chinese Hackers Sat Undetected in Small Massachusetts Power Utility for Months|PCMag

    Chinese Hackers Sat Undetected in Small Massachusetts Power Utility for Months|PCMag

小規模なインフラ組織を狙う

LELWDのゼネラルマネージャーを務めるNick Lawler氏は、米国連邦調査局(FBI: Federal Bureau of Investigation)からの突然の電話を受け、侵害の事実を知ったという。このとき、同氏は詐欺電話だと思い、地元のオフィスに電話して事実確認をしたが、それでも信じられなかったとしている。

LELWDはFBIからの電話を受ける1~2か月前、米国公営電力協会(APPA: American Public Power Association)およびエネルギー省の助成を受け、運用・制御技術(OT: Operational Technology)にセキュリティ企業「Dragos」のセンサーを設置している。このセンサーはその後の調査において、攻撃者がいつ、どこに侵入したのかを正確に特定するのに役立ったという。

攻撃者の目的は運用・制御技術(OT)に関する特定のデータ、エネルギーグリッド運用に関する空間レイアウトデータの窃取だったとみられている。Dragosによるとこの攻撃による顧客機密データの漏洩はなかったとのことだ。

初期の侵害経路は「FortiGate」

The Registerによると、初期の侵害経路は「FortiGate 300D」のファイアウォールに存在した脆弱性だという。Fortinetは2022年12月に修正パッチを公開したが、LELWDのマネージドサービスプロバイダー(MSP: Managed Services Provider)がアップデートを怠っていたとされる(参考:「This is the FBI. China's Volt Typhoon is on your network • The Register」)。

FBI、米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、連邦政府はLELWDに独自のセンサーを設置。攻撃者の活動を監視して、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を調査している。

この調査中、侵害された状態を放置する必要があり、Nick Lawler氏は不安だったと当時の気持ちを吐露している。2023年末ごろ、Volt Typhoonは撤退し、調査は完了した。

対策

LELWDはその後、CISAの協力を得てネットワークをゼロから再構築し、セキュリティ対策、継続的な監視体制の構築などを実施した。2024年8月に実施された3週間にわたる侵入テストでその安全性が確認されている。

Volt Typhoonのような長期間潜伏し、スパイ活動を実施する攻撃者は必ずしも知名度の高い、大きな標的を直接狙うわけではない。横方向の移動を前提に、よりセキュリティの甘い小規模な組織に侵入し、そこから標的へと移動する。そのため、規模の大小にかかわらず、すべての企業、組織には万全のセキュリティ対策を実施することが望まれている。